По поводу всей это беготни с masster-x и antipioner

Народ, те кто заходил на masster-x или запускал antipioner, посмотрите у себя на винте файл dnsapi32xbt.dll
Если есть, выложите его плиз.

Есть кое-какие подозрения.

А вообще смотрите еще эти:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
xxx.*

В основном могут быть *.ocx, *.dll, *.exe, но не исключены другие расширения.

Также, у кого есть время, поищите в системе файлы, которые в теле содержат строку "A3752DX" (без ковычек).
Если будут найдены какие либо файлы - выкладывайте, чтобы я их мог скачать.

PS: Это опять же касается тех, кто заходил на masster или запускал antipioner.

Может кто-нить из модераторов подвесит тему хотя-бы на пару дней?
Вроде как тема важная и много кого касается.

PS: Так никто ничего у себя не нашел? Ведь если данные крадут, то это означает, что они куда-то уходят. Если получить сам троянчик, то можно узнать, куда они уходят.

Так и есть. Сейчас глянула -есть этот файл-wsp2update(2).dll-неизвестное приложение, дата создания-время запуска антипионера. Ужос.
ps Adult стукнула тебе в аську

VESTAL писал:

Так и есть. Сейчас глянула -есть этот файл-wsp2update(2).dll-неизвестное приложение, дата создания-время запуска антипионера. Ужос. ps Adult стукнула тебе в аську

У меня ася не работает.
Надо где-нить выложить в сети. либо кому-нить передать, чтобы выложили в сети

A d u l t писал:

PS: Так никто ничего у себя не нашел? Ведь если данные крадут, то это означает, что они куда-то уходят. Если получить сам троянчик, то можно узнать, куда они уходят.

Adult, спасибо за то, что ты делаешь.

Я, как натуральная блондинка, конечно же кликнула по ссылке из письма, правда на запуск antipioner.exe меня уже не хватило )

Ссылка была открыта IE6, система windows 2000 professional. ничего из перечисленного тобой у себя не нашла, равно как и из соседней темы: ни бибилиотек, ни ключей в реестре

P.S. По дате создания/изменения тоже искала - ничего

VESTAL писал:

Так и есть. Сейчас глянула -есть этот файл-wsp2update(2).dll-неизвестное приложение, дата создания-время запуска антипионера. Ужос. ps Adult стукнула тебе в аську

Еще раз повторюсь - мне (да и всем нам) очень важно получить этот файл.

Adult, может покажусь чайником, но лучше все-таки спрошу.
Вот ты говоришь поищите такие-то файлы..
А чем искать? Можно стандартной виндовой искалкой? Или кака может от нее прятаться (тогда чем искать лучше?) Просто уже встречался с тем, что по крайней мере от проводника некоторые прятаться могут - Outpost указывает на пришложение лезущее в инет - запрещаю, иду смотреть по указанному пути - а там такого нет. (Потом загрузившись из DOS увидел и прибил)

Я тогда тоже с утра затупил кликнул-таки на ссылочку. Браузер кстати не умер! Просто стоял на этой странице и тормозил - пришлось его снимать. Сразу же глянул спискок процессов - там висел какой-то неизвестный (название не запомнил, кажется на конце были цифры 51) грохнул его. Прошелся по дискам и реестру в поисках файла/ключа с таким же названием - ничего не нашлось. На этом и успокоился, хотя наверно зря...
Сейчас копаю тчательнее - обозначенных файлов не нашел, сейчас проверяю по строке "A3752DX"...

MyTraf писал:

Adult, может покажусь чайником, но лучше все-таки спрошу. Вот ты говоришь поищите такие-то файлы..

Как вариант - стандартной искалкой файлов.

Еще лучше - Far Manager'ом.
Устанавливаете Far, запускаете, жмете ALT+F7. Далее разберетесь.

Идеальный вариант - копать сам диск с помощью DiskEditor или других средств просмотра данных с поверхности диска. Это уже для профессионалов. Таким образом можно и в удаленных файлах покопаться. В том случае, если троян себя грохает, то есть вариант все равно его откопать.

PS: Где что брать для просмотра и поиска - не буду говорить, а то подумаете, что я злобный хацкер и пытаюсь Вам подсунуть троян

потёрто

Последний раз редактировалось: VESTAL (10/10/06 в 20:01), всего редактировалось 1 раз

VESTAL писал:

выложила антипионер, этот dll и ещё, похожий, про который писали http://www.porn4girl.net/virus/virus.rar

СПАСИБА! Сейчас поковыряю

а нахрена в том архиве kernel32.dll?
вместо него надо было самое главное вирусное тело запаковать
называется pagefile.sys

Nuv писал:

а нахрена в том архиве kernel32.dll? вместо него надо было самое главное вирусное тело запаковать называется pagefile.sys

Оффтопик: давай мыло, скину
з.ы. воспринимать как шутку

ibiz писал:

Оффтопик: давай мыло, скину з.ы. воспринимать как шутку

5 балов!

Цитата:

PS: Где что брать для просмотра и поиска - не буду говорить, а то подумаете, что я злобный хацкер и пытаюсь Вам подсунуть троян

Спасибо, уж по крайней мере Far у меня есть
Вот с DiskEditor сложнее, но попробую достать и поискать каку (когда-то им баловался, так что представление имею).
Запустил поиск по строке из Far - нашел (в отличии от виндовой искалки) 8 файлов, правда они все в интернет кэше находятся, так что это скорее всего странички с этим обсуждением закешировались
Еще попутно антивирь (DrWeb) ругнулся на "Trojan.Downloader" сидевший так же в кэше. Скорее всего к делу это отношения не имеет, с давних пор наверно недобитый лежит, но на всякий случай выложил: http://slil.ru/23223474

Adult, похоже этот вирь к делу отношение все-таки имеет!
Полная проверка диска DrWeb выявила еще одну каку - и именем Dc34.exe (в этот раз в корзине, хотя сам я его не удалял) - как раз процесс с таким именем появлялся в памяти после клика по злополучной ссылке в пятницу. (Правда мне казалось что тогда было Dc51.exe - но мог и засклерозится, тем более я его мгновенно грохнул особо не разглядывая )
Судя по размеру, это такой же файл как и предыдущий, только с другим именем. Но но всякий случай выкладываю: http://slil.ru/23224073

MyTraf писал:

Adult, похоже этот вирь к делу отношение все-таки имеет!

Действительно ужасная кака, но к этому случаю отношения не имеет...

Ой, ну как я себя ругаю что повелась на эту рассылку ((

Полтора часа шел поиск на диске, но строка "A3752DX" не обнаружена!

Значит все нормально? Можно не беспокоиться?!

Есть подозрение на следующую тему:
Программа antipioner.exe служит для того, чтобы скрыть от обычных приложений и от пользователя файлы
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*

Тоесть после запуска программы она прячет от пользователя вышеперечисленные файлы на диске. И если они существовали на диске до запуска antipioner.exe, то и сейчас они существуют.

Чтобы это проверить, создайте по SHIFT+F4 с помощью Far'а файл с именем, скажем, winupdate.dll в какой-нить папке, сохраните его и выйдите - он сразу у Вас исчезнет, хотя на самом деле он есть. В Safe-Mode вы увидите ту же картину. Все вышеперечисленные файлы предположительно должны находится в папке windows\system32
Заходим Far'ом в эту папку, нажимаем SHIFT+F4 и вводим имя файла.dll
Если такой файл в папке system32 существует, то FAR не создаст новый файл, а откроет существующий. Тем самым мы вместо пустого файла увидим содержимое этого *.dll файла - это говорит о том, что такой файл существует.

Обращение к нашему "любимому" хакеру: Это было одной из твоих главных ошибок запаковать екзешник с помощью ExeCryptor. Если ты не знал, то он уже давно взломан. Неужели ты не боишься остаться без яиц?

Adult, точно??
Это тогда такое забавное совпадение, что в тот день (или в предыдущий) я подцепил вирь и не заметил этого, а вот кликнув по той ссылке наоборот повезло и ничего не подцепил, но ломанувшись в диспетчер задач засек предыдущий вирус? Интересное софпаденице получается.
Может это все-таки одна из разновидностей? Кстати AVP его не видит, DrWeb в пятницу тоже не видел, только сейчас "прозрел" видимо в понедельник в новой базе сигнатуру добавили (там вообще >300 разновидностей Trojan.DownLoader сразу добавилось).

Еще только сейчас заметил. Второй экземпляр сидел не в корзине (которая должна называться RECYCLED), а в собственной папке: RECYCLER. Очень уж это напоманает "стиль": master-x --> masster-x

MyTraf писал:

Adult, точно??

Точно я ничего не берусь утверждать.

проделала данные манипуляции с system32- ничего, создаёт пустые файлы. Но само название найденного вируса действительно наводит на подозрение wsp2update(2).dll-значит это дубль и есть где то первый, но где его искать...
ps хотя может до пионера у меня ничего и не было, а имя вируса автоматом пишется дубль- (2)

MyTraf писал:

Adult, похоже этот вирь к делу отношение все-таки имеет! Полная проверка диска DrWeb выявила еще одну каку - и именем Dc34.exe (в этот раз в корзине, хотя сам я его не удалял) - как раз процесс с таким именем появлялся в памяти после клика по злополучной ссылке в пятницу. (Правда мне казалось что тогда было Dc51.exe - но мог и засклерозится, тем более я его мгновенно грохнул особо не разглядывая ) Судя по размеру, это такой же файл как и предыдущий, только с другим именем. Но но всякий случай выкладываю: http://slil.ru/23224073

ага у меня в карантине NODа появился сегодня файл Dc25.exe (по размеру 1 в 1 как антипионер). Вот так...

Цитата:

ага у меня в карантине NODа появился сегодня файл Dc25.exe. Вот так...

VESTAL:, дас уже интересней.
У меня обнаружились варианты: Dc34.exe, Dc36.exe и думаю что в пятницу Dc51.exe мне не приглючилось, а был и с таким названием первоначально.
Помотри тогда есть ли папочка "RECYCLER" - уменя эта гадость там обосновалась.
Папочка конечно скрытая, поэтому лучше смотреть из FAR со включенным отображением скрытых файлов.